Обработка персональных данных: почему до сих пор вы все делаете не так?

Проблема соблюдения законодательства об обработке персональных данных (ПДн) волнует всех, но решают ее единицы. Прочтите наш материал и проверьте себя: как в вашей компании обстоят дела с обработкой персданных?

Организуем работу оператора

Операторы по обработке персданных должны выполнять обязанности, предусмотренные гл. 14 ТК РФ и подзаконными актами. Основные обязанности по организации работы с ПДн мы свели в таблицу:

Минкомсвязи Письмом от 28.08.2020 N ЛБ-С-074-24059 рекомендовало организациям – операторам примерный перечень локальных нормативных актов по тематике ПДн:

1. Политика оператора персональных данных в отношении обработки персональных данных
2. Положение об обработке и защите персональных данных
3. Обязательство о соблюдении режима конфиденциальности персональных данных
4. Перечень должностей сотрудников, имеющих доступ к персональным данным
5. Приказ о назначении лица, ответственного за организацию обработки персональных данных
6. Приказ об утверждении мест хранения материальных носителей персональных данных

При составлении политики в отношении обработки персданных нужно определить цели обработки ПДн и для каждой из них:

• правовые основания обработки
• категории и перечень обрабатываемых персданных
• категории субъектов, чьи ПДн обрабатываются
• способы, порядок, условия и сроки их обработки и хранения
• порядок актуализации, исправления, удаления, уничтожения персданных при достижении целей их обработки или при наступлении иных законных оснований (в т. ч. по требованию субъекта, его представителя, Роскомнадзора)

Составить политику в отношении обработки персданных помогут Рекомендации Роскомнадзора. Они старенькие, но вполне актуальные.

Политику нужно обязательно опубликовать, например, на сайте оператора в сети Интернет или иным образом обеспечить неограниченный доступ к ней (п. 2 ст. 18.1 Федерального закона N 152-ФЗ, Письмо Роскомнадзора от 14.07.2023 N 08ВМ-59834, Письмо Роскомнадзора от 19.10.2021 N 08-71063). Если сайта у компании нет, можно сделать политику общедоступной, разместив ее на своей странице (канале) в соцсети, месседжере.

Неопубликование политики оператора в отношении обработки ПДн влечет наложение штрафа, предусмотренного  ч. 3 ст. 13.11 КоАП РФ, — на должностных лиц в размере от 6 000 до 12 000 руб.; на организацию в размере от 30 000 до 60 000 руб.

Роскомнадзор также дал Рекомендации операторам персональных данных относительно организации их работы с ПДн, которым, безусловно нужно следовать. Ими, в частности, противопоказано собирать и хранить избыточные персданные, что так любят делать операторы.

Получаем согласие на обработку персданных

Получение согласия считает своим долгом практически каждый оператор, но беда в том, что работа с согласиями сопряжена с большим количеством разнообразных ошибок и заблуждений. Назовем самые типичные.

Заблуждение 1. Если субъект ПДн дал согласие на обработку его персданных, все операции с ними будут законными

Истина 1: Нет! Даже при наличии согласия на иное обработке подлежат только те персональные данные, которые отвечают законным целям их обработки. Объем и содержание ПДн не должен быть избыточным, в том числе и при наличии согласия субъекта (п. 2, 4, 5 ст. 5 Федерального закона N 152-ФЗ, ст. 86 ТК РФ).

Хранение копий документов работника (паспорта, диплома, военного билета, СНИЛС, ИНН и др.), его фото в личном деле обычно не соответствует целям обработки персданных, даже если на это имеется письменное согласие работника. Суды рассматривают наличие копий как нарушение, подпадающее под ч. 1 ст. 13.11 КоАП РФ (см., например, Постановление 15-й ААС от 14.03.2014 N 15АП-22502/13 по делу N А53-12557/2013, Постановление ФАС СКО от 11.03.2014 N Ф08-480/14 по делу N А53-10287/2013, Постановлением ФАС СКО от 21.04.2014 N Ф08-1921/2014, по делу N А53-13327/2013, Определение 6-го КСОЮ от 07.09.2023 N 88-20602/2023 по делу N 2-11690/2022, Постановление мирового судьи Кировского судебного района города Астрахани от 24.05.2012 по делу N 5–244/2012). Удобство для работодателя – не повод хранить документы, тем более, что данные в них могут устаревать и становиться неактуальными. Если копия документа работника понадобится работодателю для законных целей, он может в связи с этим попросить работника предоставить соответствующий документ.

Заблуждение 2. Необходимо оформлять согласие при первом контакте с субъектом, пусть его содержание будет самым общим, а уже потом по ходу обработки можно определиться какие ПДн и зачем нужны оператору

Истина 2: Нет! Нельзя получать согласие «на всякий случай». Оператор сначала должен определить конкретные законные цели обработки применительно к данному субъекту или категории субъектов персданных, а уже затем получать согласие гражданина (п. 2 ст. 5, п. 1, п. 3 ст. 9 Федерального закона N 152-ФЗ). Текст согласия должен быть разработан с учетом этого правила, он должен быть конкретным и однозначным, в нем должно быть раскрыто значение понятия «обработка персональных данных» применительно к субъекту и четко определены цели (Постановление 9-го ААС от 30.12.2020 N 09АП-50411/2020 по делу N А40-98225/2020, Постановление 11-го ААС от 29.11.2021 N 11АП-15573/2021 по делу N А65-15999/2021, Постановление 11-го ААС от 14.12.2020 N 11АП-16705/2020 по делу N А65-16592/2020). Для случаев, когда необходимо получение согласия в письменной форме, установлены требования по реквизитному составу согласия (п. 4 ст. 9 Федерального закона N 152-ФЗ).

Заблуждение 3. Если у оператора имеется согласие, то собранные персданные можно хранить как угодно долго

Истина 3: Нет! Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае, когда нужда в них отпала (п. 7 ст. 5, п. 4 ст. 21 Федерального закона N 152-ФЗ).

Карточка гражданина, подлежащего воинскому учету, содержит его персональные данные. Она закрывается после его увольнения или снятия с воинского учета и хранится в организации еще 5 календарных лет, считая с года следующего за годом соответствующего события (п. 457 Перечня, утв. Приказом Росархива от 20.12.2019 N 236, п. 4.1 Инструкции, утв. Приказом Росархива от 20.12.2019 N 237).

По истечении указанного срока карточка и все ПДн, содержащиеся в ней, должны быть уничтожены. Даже если бы было получено согласие субъекта на хранение, это было бы незаконно.

Гражданин претендует на замещение вакансии. На период принятия работодателем решения о приеме либо отказе в приеме на работу требуется получить у соискателя согласия на обработку необходимых для этого ПДн, включая запросы сведений о соискателе по прежним местам работы. В случае незаключения трудового договора все собранные о претенденте сведения должны быть уничтожены в течение 30 дней (п. 4 ст. 21 Федерального закона N 152-ФЗ, п. 5 Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Обработка ПДн в случаях, не предусмотренных законодательством, либо обработка, несовместимая с целями сбора ПДн наказывается наложением административного штрафа на должностных лиц, ИП в размере от 50 000 до 100 000 руб.; на организацию от 150 000 до 300 000 руб. (ч. 1 ст. 13.11 КоАП РФ).

Заблуждение 4. Наличие согласия можно подтвердить путем проставления субъектом отметки (например, «галочки») в соответствующем поле электронного или бумажного документа

Истина 4: Не всегда! Федеральный закон N 152-ФЗ различает случаи, когда требуется согласие и когда требуется т. н. письменное согласие субъекта. Исключительно письменное согласие необходимо для следующих целей обработки:

• обработка биометрических персданных, которые используются оператором для установления личности субъекта (п. 1 ст. 11 Федерального закона N 152-ФЗ)
• обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 1 ст. 10 Федерального закона N 152-ФЗ)
• получение работодателем персданных работника у третьей стороны (при невозможности получить их у самого работника) (п. 3 ст. 86 ТК РФ)
• сообщение работодателем третьей стороне ПДн работника (кроме исключений, предусмотренных законами) (ст. 88 ТК РФ)
• включение ПДн в общедоступные источники (в том числе справочники, адресные книги) (п. 1 ст. 8 Федерального закона N 152-ФЗ)

Письменное согласие должно быть подписано собственноручной или электронной подписью субъекта (пп. 9 п. 4 ст. 9 Федерального закона N 152-ФЗ). В этом случае требуется идентификация субъекта персданных, а проставление «галочки» или иной отметки, символизирующей согласие, не позволяет идентифицировать подписанта.

В остальных случаях, когда согласие требуется, но не обязательно именно письменное, можно обойтись и такой отметкой (п. 5 Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Обработка ПДн без согласия в письменной форме субъекта в случаях, когда такое согласие должно быть получено в соответствии с законодательством либо обработка ПДн с нарушением требований к составу сведений, включаемых в согласие, влечет административную ответственность в виде штрафа, предусмотренного ч. 2 ст. 13.11 КоАП РФ, — с должностных лиц, ИП — в размере от  100 000 до 300 000 руб.; с организации – в размере от 300 000 до 700 000 руб.

Стоит взять на вооружение еще несколько фундаментальных правил работы с согласиями:

• есть множество оснований для обработки персданных без получения согласия субъекта. Это будет законно в случаях, перечисленных в пп. 2 – 11 п. 1 ст. 6, пп. 2 – 10 п. 2 ст. 10, п. 2 ст. 11 Федерального закона N 152-ФЗ, а также прямо предусмотренных другими федеральными законами (см. также Письмо Минцифры от 14.05.2024 N П25-12029-ОГ). Например, согласие избыточно, если ПДн обрабатываются во исполнение договора, стороной которого либо выгодоприобретателем, поручителем по которому является субъект, а также для заключения договора по инициативе субъекта; если осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом; при обработке ПДн для выполнения возложенных на оператора законодательством РФ функций, полномочий и обязанностей

Согласие субъекта не требуется, если его персональные данные организация (ИП) передает налоговой службе в рамках представления налоговой отчетности или СФР в рамках обеспечения права застрахованного лица на получение им пособия (пп. 2 п. 1 ст. 6 Федерального закона N 152-ФЗ).

Обработка персональных данных в целях воинского учета осуществляется без необходимости получения согласия субъекта (п. 2 ст. 8.1 Федерального закона от 28.03.1998 N 53-ФЗ «О воинской обязанности и военной службе»).

• Начиная с 1 сентября 2025 г. согласие на обработку персданных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект (п. 1 ст. 9 Федерального закона N 152-ФЗ в ред., действующей с 01.09.2025). Если согласие интегрировано в другой документ, его необходимо переоформить не позднее 1 сентября — в противном случае оно не будет считаться предоставленным применительно к дальнейшим действия оператора с ПДн (п. 2 ст. 4 ГК РФ)
• Если по закону предоставление персональных данных и (или) получение оператором согласия на их обработку являются обязательными, оператор обязан разъяснить субъекту юридические последствия отказа предоставить его ПДн и (или) дать согласие (п. 2 ст. 18 Федерального закона N 152-ФЗ)
• Согласие может быть отозвано субъектом (п. 2 ст. 9). После этого оператор вправе продолжить обработку ПДн субъекта, если согласие изначально не требовалось. В противном случае по общему правилу оператор обязан немедленно прекратить обработку персданных и уничтожить их в срок, не превышающий 30 дней с даты отзыва согласия (п. 5 ст. 21 Федерального закона N 152-ФЗ)

Мы перечислили самые главные требования к работе с согласиями на обработку ПДн, но, безусловно, не все. Тонкостей великое множество!

Уведомляем Роскомнадзор

Оператор персданных должен уведомлять Роскомнадзор:

1. До начала обработки — о своем намерении осуществлять обработку ПДн (п. 1 ст. 22 Федерального закона N 152-ФЗ). Требование распространяется как на организации, так – в равной мере — и на ИП. Не требуется уведомление только если оператор осуществляет деятельность по обработке персданных исключительно без использования средств автоматизации (пп. 8 п. 2 ст. 22 Федерального закона N 152-ФЗ). Без использования средств автоматизации — значит любые действия с ПДн в отношении каждого из субъектов осуществляются при непосредственном участии человека (п. 1, 2 Положения, утв. Постановление Правительства от 15.09.2008 N 687). Так, обработка персданных с использованием компьютерных программ, систем не признается осуществляемой с использованием средств автоматизации, если каждый раз персданные каждого гражданина вводятся, переносятся из документа в документ, копируются, пересылаются, направляются на хранение, удаляются «ручными» операциями, а не автоматически или полуавтоматически компьютером.Это уведомление следует подать строго до начала обработки, за его непредставление или представление с опозданием ч. 10 ст. 13.11 КоАП РФ предусматривает штраф для должностных лиц НКО в размере от 30 000 до 50 000 руб.; для организаций (за исключением НКО) и для ИП – в размере от 100 000 до 300 000 руб.Срок давности привлечения к административной ответственности – 1 год с момента нарушения (ст. 4.5 КоАП РФ). Длящимся оно не является, поскольку состав нарушения – не обработка персданных без уведомления, а само по себе невыполнение или несвоевременное выполнение оператором обязанности по уведомлению РКН. Дата совершения правонарушения – это дата начала обработки ПДн без уведомления или дата представления уведомления, но уже после начала обработки. «Пересидев» год, оператор уже не может быть подвергнут наказанию. По этой причине непреодолимое и массовое стремление операторов представить свои уведомления через много лет после установленного срока, особенно посетившее компании и ИП уже после 30 мая 2025 г. (т. е. уже после резкого увеличения санкции) очень сложно объяснить разумными основаниями: эти лица только создали новый повод их оштрафовать – представили уведомление с опозданием, в то время как по первоначальному нарушению – неуведомлению до начала обработки – все сроки давности давно вышли…Уведомление обрабатывается Роскомнадзором до 30 дней, после чего организация (ИП) включается им в реестр операторов персданных.

   Не нужно ждать никакой обратной связи от РКН. Если интересно, проверить стадию обработки уведомления можно самостоятельно с помощью сервиса «Проверка состояния уведомления (информационного письма)» на сайте ведомства.

2. Например, у вас сменился ответственный за организацию обработки персданных или адрес компании. Даже это — повод представить такое уведомление. В случае изменения сведений, указанных в ранее поданном уведомлении, — не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения (п. 7 ст. 22 Федерального закона N 152-ФЗ). Сайт Роскомнадзора позволяет подать такое уведомление онлайн
3. В случае прекращения обработки ПДн — в течение 10 рабочих дней (п. 7 ст. 22 Федерального закона N 152-ФЗ). Это, в частности, актуально в случаях ликвидации оператора, прекращения деятельности оператора в результате его реорганизации, наступления для оператора срока или условия прекращения обработки персональных данных, указанных им ранее в уведомлении, вступления в силу решение суда о прекращении оператором деятельности по обработке персональных данных и т. д. Для представления уведомления также можно воспользоваться сервисом на сайте ведомства.
   

   
   Непредставление или несвоевременное представление уведомлений об изменении ранее представленных сведений и о прекращении обработки ПДн обойдутся ответственному должностному лицу или ИП в 300 – 500 руб.; организации — в 3 000 – 5 000 руб. штрафа (ст. 19.7 КоАП РФ). Срок давности привлечения к административной ответственности по ней составляет 90 календарных дней (ст. 4.5 КоАП РФ).
   

4. В случае утечки персданных – в течение 24 часов с момента выявления инцидента оператором (п. 3.1 ст. 21 Федерального закона N 152-ФЗ). Представить уведомление удобно через сайт РКН.
5. В течение 72 часов после утечки необходимо уведомить Роскомнадзор о результатах внутреннего расследования инцидента (п. 3.1 ст. 21 Федерального закона N 152-ФЗ). Можно это сделать посредством того же сервиса.Невыполнение или несвоевременное выполнение оператором обязанности по уведомлению РКН об утечке персданных грозит штрафом, налагаемым на основании ч. 11 ст. 13.11 КоАП РФ, на должностных лиц НКО – в размере от 400 000 до 800 000 руб.; на организацию (за исключением НКО) или ИП – в размере от 1 000 000 до 3 000 000 руб.Отдельно караются действия (бездействие) оператора, приведшее к утечке (ч. 1 и ч. 17 ст.  13.11 КоАП РФ). Если пострадали биометрические ПДн санкция может составлять до 20 000 000 руб.; применительно к иным категориям ПДн —  до 300 000 руб.Кроме того, могут быть применены ч. 6 ст. 13.12 КоАП РФ – штраф за нарушение требований о защите конфиденциальной информации (до 100 000 руб.) — и  ст. 13.14 КоАП РФ – штраф за разглашение информации, доступ к которой ограничен, лицом, получившим доступ к ней в связи с исполнением должностных обязанностей (до 50 000 руб. в отношении должностного лица или ИП, до 200 000 руб. в отношении организации).

Кратко об  обработке персональных данных

• грамотная работа с персданными – одна из самых сложных задач, которые должны решать организации и ИП
• оператору следует тщательно организовать и настроить эту работу, издав, в том числе, комплект необходимых ЛНА, а также назначив ответственное за организацию обработки ПДн лицо
• политика оператора в отношении обработки ПДн должна быть общедоступна
• получение оператором от субъекта согласия на обработку персданных требуется далеко не всегда, но если оно требуется, то содержание согласия должно строго соответствовать закону
• никакое согласие не может оправдать обработку персональных данных, не соответствующих целям их обработки, сбор и хранение избыточных ПДн
• уведомлять Роскомнадзор нужно в пяти случаях: перед началом обработки персданных; при изменении сведений, содержащихся в предыдущем уведомлении; при прекращении обработки ПДн; при утечке персданных и по результатам внутреннего расследования такого инцидента

Для доступа к разделу авторизируйтесь на сайте.

На заметку

Мы рассмотрели несколько «горячих» для операторов персональных данных тем, но это только верхушка айсберга. Сложностей, тонких и неоднозначных моментов на этом поприще деятельности организации и ИП не сосчитать. Пусть по прочтении этой статьи у вас не складывается впечатление, что теперь вы знаете все!

Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Все перечисленные параметры отвечают этому определению, но, безусловно, не исчерпывают состав персданных.

Если ведется видеофиксация производственных процессов с целью контроля соблюдения технологии, безопасности производства и т.п., то даже если граждане попадают в кадр, их изображение не используется для идентификации субъектов персданных, никак их не характеризует. Именно поэтому такие сведения не относятся к категории ПДн. Если бы та же камера вела съемку, например, в целях контроля трудовой дисциплины, добросовестности исполнения сотрудниками трудовых обязанностей, это был бы уже сбор персональных данных.

Автор статьи: Климова Марина Аркадьевна

Эксклюзивно для Бухэксперт

Все статьи автора

Помогла статья?

Получите еще секретный бонус и полный доступ к справочной системе Бухэксперт на 8 дней бесплатно

E-mail

Пароль будет выслан на указанный email